​       Bộ Khoa học và Công nghệ (KHCN) vừa ban hành Thông tư số 19/2025/TT-BKHCN quy định chi tiết về hoạt động kiểm toán kỹ thuật đối với chữ ký điện tử và dịch vụ tin cậy. Thông tư này, có hiệu lực thi hành từ ngày 01 tháng 01 năm 2026 , là động thái quan trọng nhằm hoàn thiện hành lang pháp lý, tăng cường quản lý nhà nước, và củng cố niềm tin trong các giao dịch điện tử.  

          Đối tượng áp dụng và Chu kỳ Bắt buộc

          Thông tư áp dụng cho các tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động kiểm toán kỹ thuật đối với hệ thống thông tin, quy trình cung cấp dịch vụ:

• Chữ ký điện tử bảo đảm an toàn.  
• Chứng thư chữ ký điện tử bảo đảm an toàn.  
• Chữ ký số, chứng thư chữ ký số và dịch vụ tin cậy.  

          Các tổ chức, cơ quan tạo lập hoặc sử dụng chữ ký điện tử bảo đảm an toàn được khuyến khích chủ động thực hiện kiểm toán kỹ thuật để tự đánh giá hệ thống và quy trình cung cấp dịch vụ của mình.  

          Riêng các tổ chức cung cấp dịch vụ tin cậy sẽ phải thực hiện kiểm toán kỹ thuật định kỳ 02 năm/lần để đảm bảo hệ thống luôn đáp ứng các quy chuẩn, tiêu chuẩn kỹ thuật áp dụng.  

          Lưu ý về Kiểm toán lần đầu: Tổ chức cung cấp dịch vụ tin cậy phải hoàn thành kiểm toán kỹ thuật lần đầu trong thời gian tối đa 01 (một) năm kể từ ngày được cấp chứng thư chữ ký số. Các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đã được cấp phép theo Nghị định cũ có thời hạn 03 (ba) năm kể từ ngày Nghị định số 23/2025/NĐ-CP có hiệu lực để lập kế hoạch và hoàn thành kiểm toán kỹ thuật lần đầu.  

          Quy trình và Thời hạn Kiểm toán

          Kiểm toán kỹ thuật là hoạt động đánh giá độc lập, khách quan nhằm xác định việc đáp ứng tiêu chuẩn kỹ thuật bắt buộc áp dụng, quy chuẩn kỹ thuật, yêu cầu kỹ thuật của dịch vụ tin cậy. Quy trình kiểm toán bao gồm các bước chính:  

1. Chuẩn bị và thống nhất kế hoạch: Thu thập các tài liệu liên quan (Quy chế chứng thực, chính sách chứng thư, quy trình vận hành, tài liệu kỹ thuật, v.v.) và thống nhất kế hoạch kiểm toán bằng văn bản.  
2. Đánh giá thông tin thu thập: Đánh giá các tài liệu được cung cấp để làm cơ sở triển khai đánh giá thực tế.  
3. Đánh giá thực tế: Thực hiện đánh giá trực tiếp tại tổ chức được kiểm toán theo kế hoạch.  
4. Xem xét hành động khắc phục và cấp giấy chứng nhận: Trường hợp có phát hiện sự không phù hợp, tổ chức được kiểm toán phải xây dựng và thực hiện kế hoạch khắc phục. Sau đó, tổ chức kiểm toán sẽ đánh giá kết quả khắc phục và cấp giấy chứng nhận.  
             Tổng thời hạn cho mỗi cuộc kiểm toán kỹ thuật tối đa 06 tháng. Thời hạn này có thể được thống nhất kéo dài thêm không quá 45 ngày nếu tổ chức cần thực hiện hành động khắc phục vượt quá 06 tháng.  
   
             Sau khi kết thúc, tổ chức kiểm toán phải ban hành Báo cáo kiểm toán kỹ thuật, bao gồm mô tả phạm vi, căn cứ đánh giá, đánh giá rủi ro bảo mật, các phát hiện, và kết luận về sự phù hợp của tổ chức được kiểm toán.  
             Phân công Trách nhiệm Quản lý
             Việc chỉ định Tổ chức kiểm toán kỹ thuật do Bộ Khoa học và Công nghệ thực hiện , với đầu mối tiếp nhận, xử lý hồ sơ là Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia.  
             Trung tâm Chứng thực điện tử quốc gia (NEAC) có trách nhiệm là đầu mối tiếp nhận các báo cáo kiểm toán kỹ thuật từ các tổ chức được kiểm toán để tổng hợp, báo cáo Bộ trưởng phục vụ công tác quản lý nhà nước đối với hoạt động cung cấp dịch vụ tin cậy. Tổ chức được kiểm toán kỹ thuật có trách nhiệm gửi kết quả kiểm toán kỹ thuật đến NEAC trong thời gian tối đa 05 (năm) ngày làm việc kể từ ngày nhận được kết quả.  
             Thông tư này là bước tiến pháp lý quan trọng, tăng cường tính minh bạch, an toàn và bảo mật cho chữ ký điện tử và dịch vụ tin cậy, góp phần xây dựng môi trường giao dịch số an toàn, đáng tin cậy tại Việt Nam.